Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティ ポリシーの概要

企業を保護するには、LAN とそのリソースへのアクセスを制御する必要があります。セキュリティ ポリシーは、この目的で一般的に使用されます。LAN全体の社内でも、インターネットなどの外部ネットワークとのやり取りにおいても、セキュアなアクセスが必要です。Junos OS は、ステートフル ファイアウォール、アプリケーション ファイアウォール、ユーザー アイデンティティ ファイアウォールを通じて、強力なネットワーク セキュリティ機能を提供します。3 種類のファイアウォール適用はすべて、セキュリティ ポリシーを通じて実装されます。ステートフル ファイアウォール ポリシーの構文が拡張され、アプリケーション ファイアウォールとユーザー アイデンティティ ファイアウォールの追加要素が追加されました。

Junos OS ステートフル ファイアウォールでは、セキュリティ ポリシーにより、ファイアウォールを通過できるトラフィックや、ファイアウォールを通過するトラフィックに対して実行する必要のあるアクションに関するトランジット トラフィックに対するルールが適用されます。セキュリティ ポリシーの観点から、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。このインストゾーンとツーゾーン組み合わせは、コンテキストと呼ばれます。各コンテキストには、ポリシーの順序付けされたリストが含まれています。各ポリシーは、コンテキスト内で定義された順序で処理されます。

ユーザー インターフェイスから設定可能なセキュリティ ポリシーは、指定された IP ソースから指定された IP 宛先まで、スケジュールされた時間に許可されるトラフィックの種類を定義することで、あるゾーンから別のゾーンへのトラフィック フローを制御します。

ポリシーでは、あるセキュリティ ゾーンから別のセキュリティ ゾーンに通過しようとするトラフィックを、拒否、許可、拒否(TCP RST または ICMP ポートに到達不能なメッセージを拒否および送信)、暗号化と暗号化解除、認証、優先順位付け、スケジュール設定、フィルタリング、監視を実行できます。入力/終了できるユーザーとデータ、移動できる時間と場所を決定します。

メモ:

仮想システムをサポートする SRX シリーズ デバイスの場合、ルート システムに設定されたポリシーは、仮想システムで設定されたポリシーには影響しません。

SRX シリーズ デバイスは、1 つのセキュリティ ゾーンから別のセキュリティ ゾーンへの通過が必要なすべての接続を検査し、許可または拒否することで、ネットワークを保護します。

セッションの初期化()またはセッション終了session-close(session-init)段階で、セキュリティポリシーを使用してログ機能を有効にすることもできます。

  • 拒否された接続からのログを表示するには、ログオンを session-init有効にします。

  • 結論/破棄後にセッションをログに記録するには、ログオンを session-close有効にします。

メモ:

セッションログは、ユーザーのパフォーマンスに影響を与えるフローコードでリアルタイムで有効になります。両方 session-close とも session-init 有効にすると、有効化のみと比較して session-init パフォーマンスがさらに低下します。

SRX300、SRX320、SRX340、SRX345、SRX380、SRX550Mのデバイスでは、工場出荷時のデフォルトのセキュリティポリシーが提供されます。

  • trust ゾーンから untrust ゾーンへのすべてのトラフィックを許可します。

  • 信頼ゾーンからゾーン内の信頼ゾーンまでの信頼されたゾーン間のすべてのトラフィックを許可します。

  • untrust ゾーンから trust ゾーンへのすべてのトラフィックを拒否します。

ポリシーの作成を通じて、指定したソースから指定した宛先にスケジュールされた時間に渡すことができるトラフィックの種類を定義することで、ゾーンからゾーンへのトラフィック フローを制御できます。

最も広いレベルでは、スケジューリングの制限なしに、1つのゾーン内の任意のソースから他のすべてのゾーンの宛先まで、あらゆる種類のトラフィックを許可できます。最も狭いレベルでは、スケジュールされた時間の間に、1つのゾーン内の指定されたホストと別のゾーン内の別の指定されたホストとの間に1種類のトラフィックのみを許可するポリシーを作成できます。 図 1 を参照してください。

図 1:セキュリティ ポリシー Security Policy

パケットが 1 つのゾーンから別のゾーンに、または同じゾーンにバインドされた 2 つのインターフェイス間で渡そうとするたびに、デバイスはそのようなトラフィックを許可するポリシーをチェックします( 「セキュリティ ゾーン について」と 「例:セキュリティ ポリシー アプリケーションとアプリケーション セットの設定」を参照)。ゾーンAからゾーンBなど、あるセキュリティゾーンから別のセキュリティゾーンにトラフィックを渡せるようにするには、ゾーンAがゾーンBにトラフィックを送信することを許可するポリシーを設定する必要があります。トラフィックが逆に流れるのを許可するには、ゾーンBからゾーンAへのトラフィックを許可する別のポリシーを設定する必要があります。

データ トラフィックがゾーン間を通過できるようにするには、ファイアウォール ポリシーを設定する必要があります。